警报：JavaScript核心库遭恶意投毒，数百万加密用户面临窃取风险

近日，一起针对JavaScript开源生态的供应链攻击事件引发广泛关注。黑客通过入侵知名开发者"qix"的NPM（节点包管理器）账户，向十余个主流工具包（包括chalk、strip-ansi、color-convert和color-name”等）注入恶意代码。这些被污染的软件包每周下载量超过10亿次，意味着数百万项目面临潜在风险。

此次攻击的特殊性在于其精准的针对性。这些专门设计用于窃取加密货币的恶意代码，采用两种攻击模式：当检测到MetaMask等软件钱包时，会在交易签名前篡改收款地址；未检测到钱包时则监控网络流量并尝试替换加密货币地址。该恶意程序支持劫取BTC、ETH、Solana等多种主流数字货币。

更值得警惕的是，攻击影响范围远超加密货币领域。任何使用JavaScript/Node.js的环境都可能受到影响，包括网站、桌面程序、服务器和移动应用。普通商业网站可能无意中包含恶意代码，但仅在用户进行加密交易时才会激活。

面对这一威胁，安全专家建议用户立即暂停使用浏览器插件和桌面软件钱包进行链上交易。若确实需要交易，必须使用硬件钱包并在签名前仔细核对设备屏幕上显示的每个地址字符。截止目前，Uniswap和Blockstream等主流平台已声明未受影响。

综上，这些事恶意软件不仅精密且隐蔽，甚至能够长期潜伏，伺机窃取信息，对软件供应链安全构成严重威胁。

开发者必须立即采取行动，包括审计依赖项、验证版本完整性，并升级到净化后的版本，以防范此类攻击。

这次事件提醒我们持续进行安全验证的必要性，也促使我们必须从过去依赖默认信任的方式，转向一种持续进行验证的新安全策略。

#供应链攻击 # NPM安全